1.实验要求
(1)动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?
sudo tcpdump -n src 192.168.13.130 and tcp port 80 and "tcp[13] & 18=2"
(2)动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
a. 你所登录的BBS服务器的IP地址与端口各是什么?
IP地址为202.120.225.9 端口号:23
b.TELNET协议是如何向服务器传送你输入的用户名及登录口令?
c.如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
追踪流——>TCP流
(3)取证分析实践,解码网络扫描器(listen.cap)
a.攻击主机的IP地址是什么?
攻击者IP:172.31.4.178
b.网络扫描的目标IP地址是什么?
目标IP:172.31.4.188
c.本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
用snort分析listen.pcap,可知扫描工具为nmap
d.你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
nmap -sP 172.31.4.188 活跃主机监测
nmap -O 172.31.4.188 扫描操作系统
nmap -sS -p 1-65535 172.31.4.188 扫描开放端口
nmap -sV 172.31.4.188 扫描开放的服务
e.在蜜罐主机上哪些端口被发现是开放的?
21 22 23 25 53 80 139 445 3306 5432 8009 8180是开放的端口
f.攻击主机的操作系统是什么?
输入p0f -r listen.pcap
2.学习中遇到的问题及解决
网络有时出现连接中断的情况 解决:经过查找原因是桥接模式和VMNet模式没有设置好。如果使用蜜罐进行的话需要调节至VMNet模式,如果要单独使用某一个虚拟机的话就要调节至桥接模式(直接连接物理机网络)。
3.学习感想和体会
通过这次实验,我增强了自己的动手实践能力,对网络嗅探有了更加深入的认识。
